I ricercatori di Tenet Security hanno dimostrato il 12 giugno 2026 che un bug report falso inserito in Sentry può dirottare agenti AI di coding per eseguire codice arbitrario con i privilegi dello sviluppatore. Il tasso di successo è dell'85% in test controllati. L'attacco non sfrutta una vulnerabilità software patchabile: sfrutta l'assunto architetturale che gli agenti trattino qualsiasi dato esterno come istruzione legittima.
- Tenet Security ha testato Claude Code, Cursor e Codex: tutti e tre hanno eseguito payload nascosti in un fake error report con successo dell'85%
- 2.388 organizzazioni espongono pubblicamente il Sentry DSN, elemento che permette l'inserzione del bug report avvelenato senza autenticazione
- L'attacco bypassa EDR, IAM, firewall e VPN perché ogni passaggio è autorizzato: l'agente legge dati, li interpreta come guidance e li esegue
- Sentry ha risposto alla disclosure del 3 giugno 2026 che il problema è "tecnicamente non difendibile" alla radice, aggiungendo solo un filtro per stringa payload specifica
Il meccanismo: quando il Model Context Protocol diventa canale di comando
Gli agenti AI di coding — Claude Code di Anthropic, Cursor di Anysphere, Codex di OpenAI — utilizzano il Model Context Protocol (MCP) per recuperare dati contestuali da strumenti esterni. Sentry, piattaforma di monitoraggio errori usata da oltre 200.000 organizzazioni secondo i dati del vendor, è una fonte comune.
Il meccanismo scoperto da Tenet Security è elegante nella sua semplicità. Gli agenti non distinguono tra dati letti e istruzioni da eseguire: tutto il contenuto recuperato via MCP viene trattato come input contestuale valido. Un attaccante inserisce un fake error report con una sezione "Resolution" che contiene comandi nascosti. Quando lo sviluppatore chiede all'agente di "fixare gli errori Sentry", l'agente recupera il report avvelenato, interpreta i comandi nascosti come guidance diagnostica legittima e li esegue con i privilegi dello sviluppatore.
Il Sentry DSN (Data Source Name), esposto pubblicamente da 2.388 organizzazioni identificate da Tenet, permette l'inserzione senza autenticazione. Questo endpoint è progettato per ricevere telemetry client-side: la sua stessa funzione legittima diventa superficie di attacco.
"The agent read it, trusted it, and ran our code with the developer's own access. Every step was authorized, so IAM, EDR, and network controls had nothing to flag"
— Barak Sternberg, CEO Tenet Security
La catena di intento autorizzata: invisibile per definizione
Tenet Security ha coniato il termine "Authorised Intent Chain" per descrivere ciò che rende l'attacco impervio ai controlli tradizionali. Non esiste compromissione di credenziali, nessun exploit di vulnerabilità software, nessun traffico anomolo. L'agente compie esattamente ciò per cui è stato progettato: recupera dati, li analizza, agisce. Ogni passaggio è autorizzato dal sistema di autorizzazioni esistente.
Barak Sternberg, CEO e co-founder di Tenet Security, ha riportato che i prompt di sicurezza aggiunti all'agente — istruzioni esplicite di ignorare input non attendibili — sono risultati inefficaci. "We told agents to distrust the input; they ran the payload anyway", ha dichiarato. Le misure di mitigazione parziale falliscono o, nel caso estremo, rendono l'agente inutilizzabile: un agente che non può fidarsi di nessun dato esterno non può più operare.
Il payload dimostrato da Tenet è in grado di rubare variabili d'ambiente, AWS keys, GitHub tokens, git credentials e URL di repository privati. Il problema si estende potenzialmente a qualsiasi fonte dati esterna consumata via MCP: ticket di supporto, GitHub issues, documentazione. "The flaw is not in Sentry alone. It is in how agents handle any outside data", ha riportato The Next Web nell'analisi della ricerca.
La disclosure e la risposta: un problema dichiarato indefendibile
Tenet Security ha divulgato i risultati a Sentry il 3 giugno 2026. La risposta del vendor è stata articolata: Sentry ha aggiunto un filtro per una stringa payload specifica, ma ha ritenuto il problema alla radice "tecnicamente non difendibile". Questa posizione conferma la lettura dei ricercatori: il problema risiede nell'architettura di trust degli agenti AI, non in un bug isolato di una piattaforma specifica.
Il filtro per stringa specifica offre protezione limitata. Varianti del payload che eludono il pattern riconosciuto rimangono efficaci. La logica difensiva tradizionale — pattern matching, blacklist, regole di sicurezza — presuppone una distinzione netta tra dati benigni e comandi malevoli che l'architettura agentica non garantisce.
Nessuna delle fonti documenta che Anthropic, Anysphere o OpenAI abbiano rilasciato patch o guidance specifiche per questo vettore. Il numero esatto di sviluppatori o organizzazioni effettivamente compromessi rimane sconosciuto: le fonti verificano solo i test controllati di Tenet, non l'osservazione in natura dell'attacco.
Cosa fare adesso
- Verificare l'esposizione del Sentry DSN: identificare se l'organizzazione espone pubblicamente il DSN e valutare la rimozione o la restrizione dell'accesso
- Rivedere l'architettura di trust degli agenti AI: implementare separazione tra layer di recupero dati e layer di esecuzione, con validazione esplicita dei comandi prima dell'esecuzione
- Introducere human-in-the-loop per azioni sensibili: richiedere conferma umana prima che l'agente esegua comandi che modificano repository, credenziali o ambienti di deployment
- Monitorare l'intento, non solo il comportamento: i controlli tradizionali vedono azioni autorizzate; è necessario tracciare la provenienza delle istruzioni che hanno generato quelle azioni
Perché l'agentjacking ridefinisce il perimetro di sicurezza
La ricerca di Tenet Security espone una tensione strutturale nel deployment degli agenti AI di coding. Le aziende hanno investito in questi strumenti per accelerare lo sviluppo, ma hanno esteso il perimetro di attacco in modo che attraversa i servizi pubblici che usano quotidianamente. Non è richiesto un breach sofisticato: basta un bug report ben scritto in una piattaforma che l'organizzazione ha scelto di usare.
La distinzione tra dato e istruzione è un problema classico in informatica, dalla injection SQL al cross-site scripting. Gli agenti AI lo ripropongono in una forma potenziata: non è più l'applicazione a confondere dati e codice, è il modello di linguaggio che confonde la descrizione di un problema con la soluzione da applicare. La differenza semantica, per un agente progettato per essere "utile", diventa tecnicamente irrilevante.
Le conseguenze concrete includono furto di credenziali cloud, compromissione di repository privati e supply chain poisoning. Il target ideale non è l'infrastruttura esposta: è lo sviluppatore con accesso legittimo, il cui agente agisce con i suoi stessi privilegi. La sicurezza perimetrale non aiuta quando l'attaccante entra attraverso le autorizzazioni dello sviluppatore stesso.
Domande frequenti
L'attacco funziona solo con Sentry?
No. Le fonti indicano che il problema si estende a qualsiasi fonte dati esterna consumata via MCP, inclusi ticket di supporto, GitHub issues e documentazione. Sentry è il vettore dimostrato da Tenet, non l'unico possibile.
Perché i controlli di sicurezza tradizionali non rilevano l'agentjacking?
Perché ogni passaggio è autorizzato. L'agente legge dati con permessi legittimi, li interpreta come guidance e li esegue con i privilegi dello sviluppatore. Nessuna regola di EDR, IAM o network monitoring ha un criterio per bloccare un'azione che corrisponde esattamente al comportamento atteso.
Esiste una patch per questo problema?
Le fonti indicano che Sentry ha aggiunto un filtro per una stringa payload specifica, ma ha dichiarato il problema "tecchnicamente non difendibile" alla radice. Non è documentata alcuna patch rilasciata dai vendor degli agenti AI. La mitigazione richiede cambiamenti architetturali, non aggiornamenti software tradizionali.
Fonti
- https://www.darkreading.com/cyber-risk/fake-bug-report-hijacks-ai-coding-agents
- https://thenextweb.com/news/agentjacking-ai-coding-agents-sentry
- https://red.anthropic.com/2026/mythos-preview/
- https://www.helpnetsecurity.com/2026/03/15/week-in-review-aitm-phishing-kit-used-to-hijack-aws-accounts-year-long-malware-campaign-targets-hr/
- https://nvd.nist.gov/vuln/detail/CVE-2026-4747
- https://www.helpnetsecurity.com/2026/03/15/week-in-review-aitm-phishing-kit-used-to-hijack-aws-accounts-year-long-malware-campaign-targets-hr/LINK
- https://www.helpnetsecurity.com/2026/03/09/deaf-hard-of-hearing-cybersecurity-careers/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.